비용 효과적이면서 안정성과 보안성을 함께 제공하는 VPN 서비스는 그동안 기술적인 탁월성에도 불구하고 시장에서 각광을 받지 못해왔다. 하지만 비용 절감이 기업의 경쟁력에 적지 않은 영향을 미치면서 많은 기업들의 관심이 VPN에 쏠리고 있고, 또 이를 뒷받침할 VPN 기술과 장비, 그리고 서비스가 준비되면서 2002년이 VPN 부흥의 원년이 될 것으로 보인다.on the NET은 VPN 관련 동향을 꾸준히 지켜봐 왔으며, 다양한 관련 기사를 게재해 왔다. 이제 관련 여건이 성숙됨에 따라 기업의 네트워크 관리자와 CIO, 전산 관리자를 대상으로 VPN 서비스에 대한 기술적인 현황과 합리적인 도입 방법을 소개하는 자리를 마련했다.지난 3월 12일 개최된 세미나에는 약 300여명이 참석해 VPN에 대한 관심도를 증명했으며, 6개 세션으로 기본 시장 동향부터, MPLS VPN과 모바일 VPN 등의 핵심 기술, 실제적인 도입 방법론, 그리고 부가 서비스 현황, 사례까지 VPN 서비스 도입을 위한 전반적인 내용을 다뤘다. 이날 세미나의 각 세션별 주요 내용을 간추렸다. 세미나 발표 자료는 넷매니아즈 홈페이지의 워크샵 코너에 게재돼 있다.VPN의 이해와 시장 기술 동향 VPN은 공중 네트워크 또는 공유 네트워크 자원을 배타적으로 점유해 ‘가상의 사설 네트워크’를 형성하는 네트워크 기술이다. 또한 기존 네트워크의 특성을 확대 정의해 대역폭 보장, 보안 및 부가 서비스를 첨가하고, 논리적으로 분리된 네트워크를 제공하는 기술이다. 이는 기존 통신 서비스를 공유 네트워크 환경에서 가상적으로 에뮬레이션하는 기능이라고 할 수도 있다. 따라서 VPN은 기존 통신 네트워크의 기능을 그대로 유지하면서, 서비스 품질과 시큐리티 등의 부가적인 서비스를 제공해야 한다.VPN의 유형도 매우 다양한데, 우선 전송 기반의 OVPN : VLL(Virtual Leased Line)과 스위치 기반의 2계층 VPN, IP 기반의 2/3계층 VPN, 서비스 기반의 4계층 이상 VPN으로 크게 나눌 수 있다. 여기서 스위치 기반의 VPN은 ATM/프레임 릴레이 네트워크 기반의 VPN과 LAN/메트로 기반의 VPLS(Virtual Private LAN Segment)로 나뉜다. 가장 다양한 VPN은 IP 기반의 VPN으로, 라우터 기반의 노드 투 노드 VPRN(Virtual Private Routed Network)과 RAS 기반의 엔트 투 엔드 VPDN(Virtual Private Dialup Network)으로 나뉘며, VPRN은 다시 터널 기반과 MPLS/VR 기반으로 나뉜다. 서비스 업체 중심의 네트워크 기반 VPN과 기업 사용자 중심의 CPE 기반 VPN도 한 분류다.따라서 VPN 서비스 모델 역시 MPLS, IPSec over MPLS, IPSec over GRE over MPLS, IPSec over GRE over IP, IPSec over IP 등 매우 다양한데, 서비스 품질 보장이나 보안 정책에 따라 부가 기능을 갖춰야 한다. 기업 관점에서 VPN 서비스의 구현 요건은 ▲글로벌한 인터넷/인트라넷/익스트라넷 관리 ▲프리미엄 B2B/B2C 서비스 품질 ▲서비스 공급업체 평가 ▲엔드 투 엔드 시큐리티 ▲장애 처리/고객 관리 ▲부가 가치 서비스 ▲다양한 가격 모델 ▲최소한의 성능과 안정성 보장 등이 중요하다.이미 해외 서비스 업체들도 MPLS 기반 VPN으로 발빠르게 진화하고 있으며, VoIP나 프리미엄 IDC 서비스, 무선 액세스 등의 부가 서비스를 확대하고 있다. 또한 서비스 업체 간의 연합을 통한 글로벌 IP VPN 서비스의 확대 경향도 뚜렷하다.VPN 활용 및 구현 전략과 실행 방법론 VPN은 ▲장거리 지사, 지점, 영업소 등 연결 ▲재택근무자나 이동근무자 ▲지방이나 해외 출장자 ▲기존 RAS 사용자 ▲국내와 해외간 연결 ▲전자상거래 ▲협력업체 연결 등 다양한 용도에 활용할 수 있다.이런 VPN을 기업 환경에 적용하기 위해서는 네트워킹 요구사항 정의, 우선 순위 결정, 물리 구성 설계, 논리적 구성 설계, VPN 정책 정의의 5단계의 프로세스를 거쳐야 한다. 네트워킹 요구 사항 정의는 서비스 자원과 사용자 간 네트워킹의 특성에 따른 요구 사항을 정의하는 것으로 비용이나 보안, 성능, 가용성, 확장성 등 다양한 요소를 고려해야 한다.우선 순위 결정은 사설 네트워크를 이용할 것인지, 공중 네트워크를 이용할 것인지를 결정하는 요소가 된다. 일반적으로 사설 네트워크의 경우 보안과 성능, 서비스 수준이 뛰어난 반면, 연결성이 떨어지고 비용이 많이 든다. 공중 네트워크의 이와 상반되기 때문에 자사에 필요한 요구 사항중 우선적인 것을 결정해야 한다.물리적인 구성 설계는 사용자 환경을 염두에 두고 사이트 투 사이트 환경과 원격 접속 환경을 구성해야 하는데, VPN 게이트웨이나 컨센트레이터 선정과 대역폭이나 터널수 등의 용량 산정, 사이트 간 트래픽과 인터넷 트래픽을 감안한 회선 산정, 접속 방법 산정 등을 수행해야 한다. 논리적 구성은 계층별 터널링 프로토콜과 인증 방법, 암호화 방법, NAT, 스플리트 터널링, IP 관리 등을 결정하는 것이다.마지막으로 VPN 정책을 정의해야 하는데, 원격 접속 VPN의 경우 사용자 그룹과 그룹별 서비스 액세스 제어, 네이밍 규칙, IP 어드레스에 대해 정의해야 한다. 사이트 투 사이트 VPN의 경우 터널 경로와 LAN 간 서비스, 게이트웨이 간 라우팅, 네이밍 규칙 등을 정의해야 한다.일반적으로 VPN 환경을 자체 구축할 경우 제한된 성능, 관리의 어려움, 투자 비용 등이 걸림돌이 된다. 반대로 VPN 서비스를 활용할 경우 이런 문제를 해결할 수 있지만, 아직 단일 ISP 서비스에 국제 서비스가 안된다는 제한이 있다.MPLS 기반 IP VPN MPLS(Multi Protocol Label Switching)은 레이블을 기반으로 패킷을 포워딩하는 기술로, 라우팅이 아니라 스위칭을 하기 때문에 ATM이나 프레임릴레이의 안정성과 QoS, 그리고 IP의 유연성과 확장성을 모두 얻을 수 있다.일반적으로 프레임릴레이나 ATM, IP 터널링 기반의 VPN은 접속 중심의 환경으로, 모든 사이트가 다른 모든 사이트와 연결해야 하지만, MPLS 기반의 네트워크에서는 사이트 간의 접속없이 서비스 업체의 네트워크와 연결하는 것으로 충분하다. 전통적인 라우팅은 각각의 라우터가 모든 라우팅 테이블을 보유하고, 다음 홉으로 포워딩을 한다. 하지만 MPLS는 3계층 라우팅을 레이블 스와핑 및 포워딩과 결합해 라우팅 테이블 참조없이 입력 라우터에서 레이블이 알려지면 모든 포워딩 결정은 레이블에 의해 이뤄진다. 특히 암호화없이도 프레임릴레이 수준의 시큐리티를 제공해 인트라넷/익스트라넷 환경에서 효과를 발휘한다.또한 컬러링을 이용한 패킷 분류와 저지연 큐잉, 입출력 프로파일, 프레그먼트화, 사용자 및 업체 등급 매핑 등을 이용해 엔드 투 엔드 QoS를 구현할 수 있다.MPLS 기반 IP VPN을 도입할 경우 기업은 ▲안정적인 서비스 ▲인트라넷에 적용했을 경우 내부 의사 소통 효율성 제고 ▲음성과 비디오를 지원하는 엔드 투 엔드 애플리케이션 레벨 QoS ▲대역폭 효율성은 물론 리던던시 확보 ▲기업 규모와 접속 기술에 관계없이 VPN 구현 ▲통신 비용 절감 ▲익스트라넷에 적용했을 경우 협력업체와 공급망 효율성 제고 ▲사설 IP 어드레스 지원 등의 이점을 얻을 수 있다.MPLS 기반 VPN은 또한 서비스 업체에도 여러 가지 이점을 제공하는데, ▲규모의 경제 실현 ▲손쉬운 추가 변경 ▲음성 데이터 비디오 통합 지원 ▲ 엔드 투 엔드 서비스 레벨 지원 등을 구현할 수 있다.모바일 VPN 기술 동향무선 환경이 확산되면서 이에 대한 보안 문제에 대한 관심도 점점 높아지고 있다. 이런 무선 환경과 그 보안에 대한 관심도는 기업 사용자들의 관심도와 무선 환경에 대한 비용 지출에도 그대로 반영되는데, 2001년 Informa tion Security의 설문 조사 결과 25~30% 정도의 기업이 1300만원, 10% 이상의 기업이 3억원 이상을 지출할 것으로 조사됐다.현재 무선 환경을 이끌고 있는 두 가지 이슈는 공중 무선 LAN 서비스와 3G 이동통신 서비스다. 공중 무선 LAN 서비스는 핫스팟 지역뿐 아니라 지하철, 공항, 터미널 등으로 확산되고 있는데, 무선 LAN 환경에는 DSSS 방식, SSID 방식, 802.11b, MAC 기반, 802.1x의 5가지 인증 방식과 WEP 암호화, AES 암호화의 두 가지 암호화 방식이 사용되고 있다. CDMA 환경에서는 WTLS+SSL 방식과 IPSec VPN의 두 가지 기술이 사용된다.모바일 환경이 확산되면서 무선 VPN의 수요 또한 늘어나고 있다. 일반 사용자의 경우 은행의 모바일 뱅킹 서비스나 증권의 모바일 트레이딩 서비스, 그리고 정보 전송 등에서 수요가 일고 있으며, 기업 환경의 경우 각종 영업 업무와 현장 AS, 보험, 의료 보안 등에 이용된다.현재 무선 VPN 시장은 어바이어, 블루소켓, 서티콤, 콜럼비테크, 포트리스 테크놀로지, 넷모션, MI 시큐리티 등의 업체가 다양한 기술과 솔루션으로 경쟁하고 있다.무선 VPN 기술이 갖춰야할 조건으로는 ▲무선 단말기용 VPN 클라이언트 소프트웨어 필요, ▲ 유선 VPN 게이트웨이와의 상호 연동, ▲편리한 설치 및 유지 보수, ▲최적화된 하드웨어 플랫폼, ▲확장성, ▲다양한 단말기와 운영체제 지원 등을 꼽을 수 있다.현재 무선 VPN 기술이 해결해야할 과제로는 ▲다양한 접속 옵션과 단말기 운영체제 ▲이동시 생기는 셀과 셀 간의 핸드 오버 ▲상대적으로 느린 통신 속도 ▲단말기의 제한적인 성능 ▲서비스 지역과 서비스 업체 간의 로밍 등을 들 수 있다.향후 모바일 VPN 환경은 CDMA를 기반으로 하는 3G 네트워크와 공중 무선 LAN 환경, 그리고 기존의 유선 인터넷과 LAN을 포괄하는 환경으로 발전해 나갈 것이다.VPN 부가 서비스의 현황과 전망 기업 사용자가 IP VPN을 도입하는 가장 큰 이유로는 시큐리티와 비용, 그리고 확장성을 들 수 있다. 또한 IP VPN 서비스의 가장 중요한 기능으로는 고객 지원과 시큐리티, 그리고 다양한 액세스 기술을 수용할 수 있다는 점이다. 이 때문에 VPN은 단순 회선 서비스가 아니라 다양한 부가 서비스를 통해 사용자 만족도를 높일 수 있다. 이런 서비스로는 CoS/QoS, 향상된 시큐리티, VoIP 서비스, 통합 서비스, 익스트라넷, 멀티캐스트 서비스, 호스팅, 인트라넷에 대한 전화접속 액세스 등이 있다. Cos/QoS는 고객의 데이터 유형 및 트래픽 중요도에 따라 서비스 등급을 구분 지정해, 해당 등급의 우선 순위에 따른 데이터 전송을 제공하는 서비스다. 이는 서비스 등급을 분류하고, Diffserv의 DSCP 코드를 부여해 제공하는데, CB-WFQ(Class Based Waited Fair Queuing) 방식을 적용한다. VPN의 경우 네트워크 정체 발생 가능성이 높은 PE와 CE 구간에 서비스를 적용한다. 서비스 등급은 VoIP와 같은 음성 통화, ERP 소프트웨어와 같은 주요 업무 트래픽, 그리고 기타 인터넷 트래픽 등으로 나뉘어진다.VoIP는 전체 데이터 통신 서비스의 20%를 차지할 것으로 전망되는 중요한 서비스다. 현재 PC to PC부터 폰 투 폰까지 다양한 VoIP 서비스가 진행되고 있는데, VPN 기반의 VoIP 서비스는 MPLS 기반의 VPN 네트워크가 불안한 인터넷을 통한 음성 통화 품질을 보장해주기 때문에 가장 매력적인 부가 서비스로 꼽히고 있다. 특히 향후 전화 부가시스템이 추가되면, 더욱 다양한 음성 서비스를 제공할 수 있을 것이다.글로벌 VPN 서비스는 단일화된 IP 네트워크 서비스 안에서 우수한 품질과 저렴한 비용으로 국내 지사는 물론, 해외지사와의 연결도 VPN을 통해 제공하는 것이다. 이 서비스는 ▲1단계는 CPE 기반 VPN 서비스를 제공하지만, ▲2단계에서는 주요 지역을 중심으로 서비스 업체가 노드를 구축해 네트워크 기반 VPN 서비스를 제공하고, ▲ 3단계에서는 해외 서비스 업체와 협력을 통해 보다 광범위한 지역에 VPN 서비스를 제공하는 방향으로 발전해 나갈 것이다.VPN 서비스는 초기에는 기능 중심의 서비스가 주축을 이루겠지만, 점점 안정성과 확장성으로 초점이 옮겨질 것이다. 케이스 스터디 : 쌍용화재해상보험전국적인 지점망을 갖추고 있는 쌍용화재해상보험(이하 쌍용화재)은 최근 데이콤의 VPN 서비스인 보라 MVP를 도입해 상당한 효과를 보고 있다. 쌍용화재보험이 VPN 서비스를 도입하게 된 배경은 크게 ▲전화와 전용회선 통신비의 지속적 증가로 인한 원가 부담, ▲지점/영업소의 업무 효율성 및 생산성 향상을 위해 전체적인 회선 업그레이드 필요, ▲전화와 방송을 위한 음성 네트워크와 데이터 네트워크의 이원화로 관리 소홀 및 불필요한 비용 발생, ▲주요 지점노드의 백업 회선 부재로 안정적인 네트워크 운영 곤란, ▲인터넷 트래픽 증가로 대역폭의 비효율적 사용 등이다.기존 쌍용화재의 네트워크는 서울 센터를 중심으로 4개 지역 센터를 T1 회선으로 연결하고, 각 지역 센터에서 지점간을 256Kbps, 지점에서 영업점 간을 64/128Kbps 전용회선으로 연결했다. 여기에 9.6Kbps 음성 전용회선으로 센터 및 주요 지점 40개소의 사내 전화/방송에 이용했다.새로 구축된 네트워크는 전국 주요 센터와 지점을 256Kbps VPN 2회선으로 연결하고 기타 영업소는 전용회선으로 지점에 연결하는 방식으로 구축됐다. 이를 통해 기존의 계층적 구조가 없어지고, 인트라넷 트래픽이 VPN을 통해 본사와 바로 연결됐다.또한 VPN 기반의 VoIP 서비스를 도입해 사내 전화는 물론, 시외 전화와 이동 전화도 데이콤 인터넷 망을 통해 이용하게 됐다. 특히 기존 네트워크는 백업 회선이 없는데 반해, 각 VPN 회선을 이중으로 구성해 평소에는 로드밸런싱을 통해 사용하고 한쪽 회선 장애시 다른 회선을 사용할 수 있도록 했다.도입 효과를 요약하면, 우선 경제성 측면에서 전용회선 비용과 VoIP를 통한 음성 통화 비용 절감을 들 수 있다. 안정성 측면에서도 지점의 장애 발생시 해당 지점만 통신이 단절되도록 했으며, 사용자 측면에서는 지점과 영업소에서 본사를 거치지 않고 인터넷을 사용할 수 있어 병목 현상을 해소했으며, 별도의 구성없이 지점과 지점 간 통신이 가능하게 됐다. 운용 관리 측면에서도 한 지점에 대해 주회선과 백업 회선만 관리하면 되므로 운용 관리가 용이하고, 장애 개소가 감소하면서 더욱 안정적인 네트워크 운용이 가능해졌다. @
